Service de stockage cloud, Dropbox informe qu'une intrusion dans l'environnement de production de Dropbox Sign a été découverte le 24 avril dernier. Anciennement HelloSign (rachat en 2019 pour 230 millions de dollars), Dropbox Sign est une plateforme pour l'intégration de signatures électroniques juridiquement contraignantes dans des documents échangés.

Selon Dropbox, un tiers a eu accès à un outil de configuration du système automatisé Dropbox Sign. Il a compromis un compte de service faisant partie du back-end de Dropbox Sign. Ce compte disposait de privilèges permettant d'effectuer diverses actions au sein de l'environnement de production de Dropbox Sign.

" L'auteur de la menace a ensuite utilisé cet accès à l'environnement de production pour accéder à notre base de données clients ", écrit Dropbox qui a communiqué l'incident de cybersécurité dans un document déposé auprès du gendarme boursier américain.

Pas pour les autres services de Dropbox

" Nous pensons que l'incident a été isolé au niveau de l'infrastructure de Dropbox Sign et qu'il n'a pas eu d'incidence sur d'autres produits. " L'infrastructure de Dropbox Sign est distincte des autres services de Dropbox.

dropbox-sign

D'après Dropbox, les données compromises comprennent des informations sur les clients Dropbox Sign comme des e-mails, des noms d'utilisateur, des numéros de téléphone et des mots de passe hachés, ainsi que des paramètres généraux de comptes et certaines informations d'authentification (clés API, tokens OAuth, authentification à plusieurs facteurs).

Pour ceux ayant eu recours à la plateforme Dropbox Sign sans la création d'un compte, les adresses e-mail et les noms d'utilisateur ont également été exposés.

Les victimes prévenues

" Rien ne prouve pour le moment que l'auteur de la menace a eu accès au contenu des comptes des utilisateurs, tels que leurs documents ou leurs accords, ou à leurs informations de paiement. "

Dropbox précise notamment avoir réinitialisé les mots de passe de tous les utilisateurs et avoir déconnecté toutes les sessions de Dropbox Sign. Les clients utilisant une application d'authentification (pour l'authentification à plusieurs facteurs) doivent en outre procéder à une réinitialisation.

Un billet de blog détaille les mesures prises et éventuellement à prendre. " Nous sommes en train de contacter tous les utilisateurs touchés par cet incident qui doivent prendre des mesures, avec des instructions étape par étape sur la façon de protéger davantage leurs données. " L'enquête est toujours en cours.